“We are focused on privacy. We care the most about privacy. We’re the light”, questo ciò che il Ceo di Facebook, Mark Zuckerberg, qualche tempo fa ha sostenuto riferendosi alla sua creatura, intendendo così differenziarla dagli altri servizi online, meno trasparenti e rispettosi della privacy degli utenti.

Facebook si è giustificato sostenendo che le foto, pur rimosse, possono rimanere in forma di backup sui server per un certo periodo dopo la cancellazione (indicando 45 giorni come termine massimo), ma non sarebbero comunque accessibili ai terzi. Affermazione che, secondo l'articolo, non corrisponderebbe alla realtà.
Questo è solo uno degli aspetti di una vicenda molto più ampia, per la quale occorre fare un passo indietro.

Siamo nel settembre del 2011, quando lo studente austriaco Max Schrems decide di verificare cosa esattamente conosce di lui il social network in blu, e quindi invia una richiesta di ostensione dei suoi dati personali detenuti da Facebook, così come previsto dalla normativa europea in materia di privacy. La legislazione europea, e quindi quelle nazionali, prevede tra i diritti degli utenti quello di conoscere quali dati personali una azienda conserva.
La procedura per Facebook è divenuta un po’ complessa, specialmente perché dopo la vicenda Schrems il social network ha rimosso il modulo online per inoltrare la richiesta. Comunque Max Schrems ha aperto un sito dove dà conto della sua storia e fornisce tutte le informazioni utili per ottenere copia dei dati personali detenuti dal sito di Zuckerberger, nel caso vogliate verificare.

Max appare piuttosto sorpreso quando si vede recapitare, sotto forma di cd, oltre 1200 pagine in formato A4 contenenti ciò che Facebook aveva conservato su di lui per soli tre anni di frequentazione online. Un po’ troppo per un sito che assicura di conservare i dati non oltre i 90 giorni!
Inoltre, secondo Max parte di quei dati erano stati anche cancellati, ma erano comunque presenti nel rapporto di Facebook, e quindi sui server del sito. Ecco perché si decide a presentare al Garante per la protezione dei dati personali dell’Irlanda, il paese dove ha sede Facebook in Europa, ben 22 ricorsi per violazione della privacy.

Il punto è che Facebook effettua una profilazione degli utenti tracciando i loro comportamenti online, le loro abitudini, le condivisioni, i messaggi, ed anche i luoghi visitati se l’accesso avviene tramite smartphone con gps. E, per completare il quadro, esiste una procedura di riconoscimento facciale che dovrebbe servire per identificare univocamente gli utenti impedendo possibili hackeraggi di account, ma, appunto, consente il riconoscimento univoco della persona alla quale Facebook potrà collegare il profilo realizzato tramite il tracciamento delle abitudini degli internauti.
Lo scopo, infatti, di aziende come Facebook, molto apprezzate perché fornirebbero servizi “gratuiti” agli utenti, non è certo filantropico, quanto piuttosto quello di realizzare profitti, dove il profitto deriva proprio dall’advertising personalizzato, cioè dagli annunci confezionati su misura per l’utente grazie alla enorme massa di dati che il social network tratta, business che ha permesso a Facebook di guadagnare circa 2 miliardi di dollari nel solo 2011 e raggiungere la ragguardevole valutazione di circa 100 miliardi, con la quale di qui a qualche mese sbarcherà in borsa.
Per fortuna le denunce del giovane studente austriaco non sono rimaste inascoltate, anzi hanno avuto un’eco piuttosto inaspettata quando della vicenda ne ha parlato addirittura il commissario europeo Viviane Reding, la quale ne ha approfittato per illustrare le novità in materia di protezione dei dati personali che la Commissione europea sta preparando per questo stesso 2012.

Purtroppo sulla proposta di riforma europea in materia di privacy si sono addensate minacciose opposizioni da parte delle autorità americane perché - sostengono - una stretta sulle norme in materia di privacy porterebbe a conseguenze negative per il commercio internazionale. Dicono la Reding e il commissario all’Agenda digitale Neelie Kroes, che la nuova normativa si applicherà, infatti, anche alle aziende con sede fuori Europa, purché trattino dati di utenti europei, e quindi i giganti americani del web dovranno garantire un livello di protezione dei dati pari a quello che offrono le aziende europee, pena pesanti sanzioni.
Secondo Jan Philipp Albrecht, politico tedesco e membro del Parlamento europeo, le società americane hanno un grande interesse a non vedere alcuna modifica alla attuale situazione in materia di privacy in Europa, poiché, grazie al lassismo degli Stati Uniti in materia di protezione dei dati, esse generano elevati profitti proprio a scapito della privacy dei cittadini della UE.

La vicenda del giovane Max viene addirittura citata nella documentazione ufficiale della Commissione europea in merito alla già detta riforma per la privacy, nel documento “How will the data protection reform affect social networks?”. Per evitare in futuro situazioni analoghe, la Commissione prospetta appunto norme che garantiranno maggior tutela ai dati degli utenti, innanzitutto stabilendo il principio “privacy by default”, che vuol dire che i dati devono essere privati per impostazione predefinita a meno che gli utenti non scelgano di condividerli, così accogliendo il principio dell’opt in. In realtà tale principio è fortemente avversato dalle aziende, che preferiscono il diverso, e meno tutelante per gli utenti, opt out, il quale consente all’azienda di rendere i dati degli utenti pubblici al momento della immissione a meno che l’utente non scelga diversamente.
La differenza è notevole, perché se un dato è pubblico al momento dell’immissione non è detto che l’utente abbia contezza della situazione e forse non si accorge nemmeno di aver condiviso con tutti quella foto che voleva mostrare solo a pochi intimi. In fondo, quanti leggono quel link in fondo alla pagina che dice “privacy”?

Tornando nuovamente alla vicenda dello studente austriaco, assurta a paradigma della lotta degli utenti contro lo strapotere delle multinazionali, di rilievo è il rapporto finale del Garante per la privacy irlandese, che, dopo due mesi di osservazione, ha  predisposto alcune raccomandazioni alle quali Facebook dovrà adeguarsi: consegnare copia dei dati personali agli oltre 40.000 utenti che li hanno richiesti; restringere l’uso dei social plugin, in particolare i bottoni Like non devono più essere utilizzati al fine del tracciamento della navigazione degli utenti e le ultime cifre degli Ip ottenuti dai Like devono essere cancellate; non deve utilizzare immagini degli utenti a fini di promozione di prodotti in assenza del consenso dell’utente; deve permettere la cancellazione definitiva dei propri dati, mentre prima conservava permanentemente i dati cancellati; non deve più essere possibile aggiungere un utente ad un gruppo senza il suo consenso; i profili inattivi devono essere eliminati se l’utente non accede per un certo periodo di tempo; le ricerche degli utenti devono essere cancellate dopo 6 mesi; i dati relativi ai click sugli annunci devono essere cancellati dopo 2 anni; i dati degli utenti che non hanno completato la registrazione sul sito devono essere cancellati; l’attivazione del riconoscimento facciale è illegale, occorre che gli utenti debbano esprimere il consenso.

Ed infine, sembra quasi banale ma evidentemente non lo era: Facebook deve verificare che la sua policy in materia di privacy sia conforme alle leggi vigenti.
Una asettica elencazione che però dà perfettamente conto di quanta leggerezza sia insita nelle procedure che riguardano i dati personali degli utenti, e quante violazioni di norme siano possibili.

Ma non erano “focused on privacy”? Certo, ma il buon Mark ha anche ammesso che hanno commesso un sacco di errori (I'm the first to admit that we've made a bunch of mistakes), mentre annunciava l’accordo con la FTT americana proprio in materia di privacy, accordo essenziale per poter sbarcare in borsa. In fondo, con tutti i miliardi che Zuckerberger raccoglierà con la quotazione, non vi viene voglia di perdonarlo per i suoi… “errori”?